================== =========================================================== =================================================================== CETTE PAGE - SOUS UNE FORME RÉVISÉE - A ÉTÉ TRANSFÉRÉE À L'ADRESSE SUIVANTE :
http://wiki.mandriva.com/fr/Permissions#Quelles_permissions_pour_mon_r.C3.A9pertoire_personnel_.3F
NOUS VOUS CONSEILLONS DE VOUS Y RENDRE… ==================================================================
Permissions VI - 700 ou 711 : des permissions pour le répertoire personnel
- 1 La parfaite sécurité : 700
- 2 Autoriser l'accès à quelques-uns de vos répertoires et à eux seuls : 711
- 3 Est-ce bien nécessaire, d'être si restrictif ??
Navigation :
Page précédente : Permissions V - Pour plus de souplesse… ou plus de contraintes : ACL et attributs étendus
Sous-section suivante : Les environnements graphiques
Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances
Cette page peut être lue et utilisée par elle-même. Elle est toutefois un complément de la page sur les permissions pour un répertoire et du complément sur les permissions pour un répertoire que vous pourriez avoir intérêt à lire aussi. Si vous êtes débutant en matière de permissions commencez par lire Permissions I et les pages suivantes.
Sous Mandriva 2006, les dossiers personnels des utilisateurs ont généralement des permissions 711, pourquoi ? Quelles en sont les conséquences ? Comment changer cela ? Vous le saurez en continuant votre lecture…
La parfaite sécurité : 700
Si vous êtes certain de ne jamais vouloir que les autres utilisateurs de votre système mettent le nez dans votre répertoire personnel pour y lire, modifier, créer ou supprimer des données, alors il vous faut donner à celui-ci des permissions de ce type
drwx------
chmod 700 /home/toto
Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances
Autoriser l'accès à quelques-uns de vos répertoires et à eux seuls : 711
Vous pouvez aussi souhaiter donner des droits de lecture, ou de lecture-écriture aux autres utilisateurs pour un tout petit nombre de sous-répertoires convenablement choisis de votre répertoire personnel.
C'est ce que permettent les permissions suivantes accordées à votre répertoire personnel '/home/toto' :
drwx--x--x
chmod 711 /home/toto
Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances
Ce qu'interdit 711...
Ces permissions restent très restrictives et vous assurent un haut degré de sécurité pour peu que vous les gériez convenablement.
Tout d'abord elle ne permettent à personne d'autre que vous d'afficher la liste des fichiers et répertoires qui se trouvent à la racine de votre répertoire personnel (sont dits 'à la racine' de votre répertoire personnel les fichiers ou répertoires qui ne sont pas inclus eux-mêmes dans un sous-répertoire de votre répertoire personnel). Ainsi un essai de commande 'ls -l /home/toto' n'affichera rien d'autre qu'un message d'erreur s'il est lancé par un utilisateur autre que vous : on ne peut donc en aucun cas 'voir' le contenu de la racine de votre répertoire (mais vous, vous le pouvez, bien entendu).
Et si d'aventure quelqu'un avait appris ou deviné l'existence d'un fichier 'choin' qui y serait situé ('/home/toto/choin'), cet utilisateur ne pourrait en aucun cas lire, effacer ou modifier ce fichier. Toutes ses tentatives en ce sens échoueraient. Il ne pourrait pas non plus supprimer un sous-répertoire existant.
Il ne pourrait pas davantage créer un nouveau fichier à la racine (comme '/home/toto/notule') ni un nouveau sous-répertoire (comme '/home/toto/docs/').
Comme vous le voyez la 'racine' de votre répertoire personnel serait bien protégée...
Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances
Ce que permet 711...
Permettre l'accès à un sous-répertoire à la racine du répertoire personnel
Vous pouvez en revanche donner l'accès en lecture à tout le contenu d'un sous-répertoire '/home/toto/partage' en lui donnant les permissions de lecture et d'exécution
drwxr-xr-x
Ce que vous pouvez faire par :
chmod 755 /home/toto/partage
cd /home/toto/partage
Notez que ceux des utilisateurs qui ne sont pas 'au courant' ne pourront guère accéder à ce répertoire, sauf à 'deviner' son existence ou à tomber dessus par erreur ou par jeu : si vous souhaitez évitez cela donnez au répertoire un nom d'une certain longueur et peu 'prévisible' : cela rendra improbable (mais non impossible, évidemment) un accès non souhaité par des utilisateurs du système non concernés...
Si vous souhaitez permettre un accès en lecture-écriture à 'partage', de telle sorte que les utilisateurs qui s'y rendront pourront s'y comporter comme dans un répertoire de travail 'normal' vous devrez lui donner les permissions 777 :
drwxrwxrwx
Cette page peut être utilisée isolément. Elle est toutefois un prolongement du paragraphe sur les permissions pour les répertoires et du complément sur les permissions pour un répertoire que vous pourriez avoir intérêt à regarder...
Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances
Permettre l'accès à un sous-répertoire plus profondément enfoui...
Peut-être cependant voudrez-vous ne pas créer un répertoire spécial 'partage' à la racine de '/home/toto' mais plutôt permettre l'accès à un répertoire existant enfoui dans une cascade de sous-répertoires, disons par exemple au répertoire 'passerelles' dont le chemin complet serait '/home/toto/docs/projet1/passerelles'. Dans ce cas vous procédez comme précédement en ce qui concerne 'passerelles' (vous lui assignez les permissions 755 ou 777 à votre guise). Mais vous devez aussi assigner les permissions 711 (drwx--x--x) à tous les sous-répertoires de votre répertoire personnel qui contiennent 'passerelles' (donc à '/home/toto/docs' et '/home/toto/projet1'). Et voilà...
Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances
Tout installer de façon simple et sans se tromper
Mis à part le petit nombre de sous-répertoires de votre dossier personnel que vous souhaitez partager et ceux qui les contiennenent, il est crucial que tous les autres aient des permissions minimales 700.
Une façon simple de faire pourrait être ceci :
- 1. Etablissez la liste d'un petit nombre de répertoires à partager.
- 2. Mettre tous les sous-répertoires à 700 en une seule commande :
find /home/toto -type d -exec chmod 700 {} \\\;
- 3. Attribuer via chmod, comme explicité plus haut, les permissions 755 ou 777 aux quelques répertoires que vous souhaitez partager (et qui figurent donc dans la liste établie en 1).
- 4. Pour ceux qui ne seraient pas à la racine attribuez les permissions 711 aux sous-répertoire de votre répertoire personnel qui les contiennent.
- 5. Si vous êtes aux niveau de sécurité MSEC 4 ou 5, n'oubliez pas de créer la règle de permissions personnalisée évoquée plus haut.
Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances
Est-ce bien nécessaire, d'être si restrictif ??
Vous pourriez bien sûr vous dire que des permissions aussi strictes que 700 ou 711 pour votre répertoire personnel, ce n'est pas vraiment utile. Lisez cependant les deux remarques qui suivent...
Supposons qu'un intrus pénètre votre système sous l'identité d'un autre utilisateur : si votre répertoire personnel a les permissions 700 il restera entièrement inaccessible à l'intrus et s'il a les permissions 711, avec une bonne gestion des permissions des sous-répertoires, seul le tout petit nombre de répertoires partagés sera accessible à l'intrus. Donner les permissions 700 ou 711 aux répertoires personnels accroît donc la sécurité générale du système face aux risques d'intrusion.
D'autre part, même si vous êtes le seul et unique utilisateur de votre machine, il se peut que vous souhaitiez tout de même créer une identité 'hote' que vous mettrez à la disposition d'un ami de passage ou de quelqu'un à qui vous voudrez donner la possibilité d'explorer les merveilles de Linux. Dans ce cas, il serait prudent que vous réfléchissiez tranquillement à l'avance à ce que vous souhaitez vraiment que ce sympathique ami puisse voir ou faire dans votre répertoire personnel… afin de gérer les permissions en conséquence. Vous pourrez ainsi prêter votre machine avec l'esprit entièrement libre...
Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances
Auteur ptyxs (février 2006)
Legal: This page is covered by the GNU Free Documentation License. Standard disclaimers of warranty apply. Copyright LSTB and Mandrakesoft.
Version 1.30 last modified by ptyxs on 29/08/2007 at 11:16
Document data
- Lost account?
- Join the community, be part of the Club: it's free!
- Get the PWP Download Subscription!